Как хакеры взламывают правительство и военных, заражая USB-устройства

Как хакеры взламывают правительство и военных, заражая USB-устройства

Если к зараженному этой малварю устройству подключить USB-накопитель, то на него незаметно установится копия трояна.

Хакерская группировка Transparent Tribe (также известная как PROJECTM и MYTHIC LEOPARD) проводила атаки на правительства и военнослужащих 27 государств, используя свой троян Сrimson, предназначенный для заражения USB-устройств и последующем распространении малвари на другие USB-устройства, подключаемые к системе.

"Хакеры из Transparent Tribe сосредоточены на слежке и шпионаже, и для достижения этих целей группа постоянно развивает свой инструментарий в зависимости от намеченной цели" - написал Касперский в своем блоге.

Целью хакеров были жертвы из 27 стран, но большая часть из них была в Афганистане, Пакистане, Индии, Иране и Германии.

Последовательность атаки начинается с рассылки целевого (направленного) фишинга. Злоумышленники отправляют фальшивые сообщения вместе с вредоносными документами Microsoft Office, содержащими встроенный макрос, который устанавливает в систему троян Crimson Remote Access (RAT).

Если жертва попадается на уловку и включает макросы,  троян запускается и позволяет хакеру выполнять различные функции в системе жертвы, включая подключаение к серверу управления и контроля (C2) для кражи данных и удаленного обновления вредоносных программ, кражи файлов, захвата снимков экрана , а также взлома микрофонов и веб-камер для аудио и видеонаблюдения.

По словам экспертов «Лаборатории Касперского, троян также может красть файлы со съемных носителей и собирать учетные данные, хранящиеся в браузерах.

Вредонос существует в трех версиях, которые были скомпилированы в 2017, 2018 и конце 2019 года, что позволяет предположить, что вредоносная программа все еще находится в активной разработке. В период с июня 2019 года по июнь 2020 года было обнаружено более 200 образцов компонентов Transparent Tribe Crimson.

Карта распространения трояна

Хакеры из Transparent Tribe также используют и вредоносные программы, как например Crimson на .NET и Peppy на Python. Но самое интересное - это новый инструмент атаки под названием USBWorm. Он способен не только красть файлы, но и заражать другие уязвимые устройства.

Если к зараженному этой малварю устройству подключить USB-накопитель, то на него незаметно установится копия трояна. Вредоносная программа перечислит все каталоги на диске, а затем спрячет копию в корневом каталоге диска, изменив атрибут каталога затем изменяется на «скрытый». Троян использует иконку Windows, чтобы побудить жертву щелкнуть и выполнить полезную нагрузку при попытке доступа к каталогам.

«Это приводит к тому, что все фактические каталоги скрываются и заменяются копией вредоносного ПО с тем же именем каталога», - отмечают исследователи.

Если к зараженному ПК подключен USB-накопитель, копия трояна незаметно устанавливается на съемный носитель. Вредоносная программа перечисляет все каталоги на диске, а затем сохраняет копию трояна в корневом каталоге диска. Атрибут каталога затем изменяется на «скрытый», а поддельный значок Windows используется, чтобы побудить жертв щелкнуть и выполнить полезную нагрузку при попытке доступа к каталогам.


Понравилась публикация? Тогда делись с друзьями. А также не забудь подписаться на наш канал в Telegram и аккаунт в Twitter, чтобы всегда быть в курсе актуальных новостей и интересных статей!




Great! Next, complete checkout for full access to Эксплойт
Welcome back! You've successfully signed in
You've successfully subscribed to Эксплойт
Success! Your account is fully activated, you now have access to all content
Success! Your billing info has been updated
Your billing was not updated